Azure İzleyici çalışma kitaplarıyla IoT için Microsoft Defender verilerini görselleştirme

  • Makale

Azure İzleyici çalışma kitapları, Azure Kaynak Grafı aboneliklerinizde depolanan ve doğrudan IoT için Microsoft Defender'da bulunan verileri görsel olarak yansıtan grafikler, grafikler ve panolar sağlar.

Azure portalında, Microsoft tarafından oluşturulan ve kullanıma hazır olarak sağlanan veya müşteriler tarafından oluşturulan ve topluluk genelinde paylaşılan çalışma kitaplarını görüntülemek için IoT Çalışma Kitapları için Defender sayfasını kullanın.

Her çalışma kitabı grafiği veya grafiği, verileriniz üzerinde çalışan bir Azure Kaynak Grafı (ARG) sorgusunu temel alır. IoT için Defender'da aşağıdakiler için ARG sorgularını kullanabilirsiniz:

  • Algılayıcı durumlarını toplama
  • Ağınızdaki yeni cihazları tanımlama
  • Belirli IP adresleriyle ilgili uyarıları bulma
  • Her algılayıcı tarafından hangi uyarıların görüldüğünü anlama

Çalışma kitaplarını görüntüleme

Microsoft tarafından oluşturulan kullanıma hazır çalışma kitaplarını veya aboneliğinize kaydedilmiş diğer çalışma kitaplarını görüntülemek için:

  1. Azure portalında IoT için Defender'a gidin ve sol tarafta Çalışma Kitapları'nı seçin.

    Çalışma Kitapları sayfasının ekran görüntüsü.

  2. Gerekirse filtreleme seçeneklerinizi değiştirin ve açmak için bir çalışma kitabı seçin.

IoT için Defender, kullanıma hazır olarak aşağıdaki çalışma kitaplarını sağlar:

  • Algılayıcının durumu. Algılayıcılarınıza yüklenmiş algılayıcı konsolu yazılım sürümleri gibi algılayıcı durumunuzla ilgili verileri görüntüler.
  • Uyarılar. Algılayıcıya göre uyarılar, uyarı türleri, oluşturulan son uyarılar ve daha fazlası dahil olmak üzere algılayıcılarınızda gerçekleşen uyarılarla ilgili verileri görüntüler.
  • Cihazlar'a gidin. Satıcıya, alt türe ve tanımlanan yeni cihazlara göre cihazlar dahil olmak üzere cihaz envanteriniz hakkındaki verileri görüntüler.
  • Güvenlik açıkları. Ağınızdaki OT cihazlarında algılanan Güvenlik Açıkları hakkındaki verileri görüntüler. Sağdaki tablolarda ilgili bilgileri görüntülemek için Cihaz güvenlik açıkları, Güvenlik açığı bulunan cihazlar veya Güvenlik açığı bulunan bileşenler tablolarında bir öğe seçin.

Özel çalışma kitapları oluşturma

Doğrudan IoT için Defender'da özel Azure İzleyici çalışma kitapları oluşturmak için IoT için Defender Çalışma Kitapları sayfasını kullanın.

  1. Çalışma Kitapları sayfasında Yeni'yi seçin veya başka bir şablondan başlamak için şablon çalışma kitabını açın ve Düzenle'yi seçin.

  2. Yeni çalışma kitabınızda Ekle'yi seçin ve çalışma kitabınıza eklemek istediğiniz seçeneği belirleyin. Mevcut bir çalışma kitabını veya şablonu düzenliyorsanız, Sağ taraftaki seçenekler (...) düğmesini seçerek Ekle menüsüne erişin.

    Çalışma kitabınıza aşağıdaki öğelerden herhangi birini ekleyebilirsiniz:

    Seçenek Açıklama
    Metin Çalışma kitabınızda gösterilen grafikleri veya gerekli ek eylemleri açıklamak için metin ekleyin.
    Parametreler Çalışma kitabı metninizde ve sorgularınızda kullanılacak parametreleri tanımlayın.
    Bağlantılar / sekmeler Çalışma kitabınıza listeler, diğer hedeflere bağlantılar, ek sekmeler veya araç çubukları gibi gezinti öğeleri ekleyin.
    Sorgu Çalışma kitabı graflarınızı ve grafiklerinizi oluştururken kullanılacak bir sorgu ekleyin.

    - Veri kaynağınız olarak Azure Kaynak Grafı'yi seçtiğinizden ve tüm ilgili aboneliklerinizi seçtiğinizden emin olun.
    - Görselleştirme seçeneklerinden bir tür seçerek verileriniz için grafik gösterimi ekleyin.
    Ölçüm Çalışma kitabı grafikleri ve grafikleri oluştururken kullanılacak ölçümleri ekleyin.
    Grup Çalışma kitaplarınızı alt alanlara düzenlemek için gruplar ekleyin.

    Her seçenek için, kullanılabilir tüm ayarları tanımladıktan sonra Ekle... veya Çalıştır... düğmesini seçerek bu çalışma kitabı öğesini oluşturun. Örneğin, Parametre ekle veya Sorgu Çalıştır.

    İpucu

    Sorgularınızı Azure Kaynak Grafı Gezgini'nde derleyebilir ve çalışma kitabı sorgunuza kopyalayabilirsiniz.

  3. Çalışma kitabınızı kaydetmek için araç çubuğunda Kaydet veya Farklı kaydet'i ve ardından Düzenleme tamamlandı'yı seçin.

  4. Tam çalışma kitabı listesini içeren ana çalışma kitabı sayfasına dönmek için Çalışma Kitapları'nı seçin.

Sorgularınızdaki başvuru parametreleri

Bir parametre oluşturduktan sonra, aşağıdaki söz dizimini kullanarak sorgunuzda bu parametreye başvurun: {ParameterName}. Örneğin:

iotsecurityresources
| where type == "microsoft.iotsecurity/sensors"
| extend Name=name
| extend Status= properties.sensorStatus
| where Name=={SensorName}
| project Name,Status

Örnek sorgular

Bu bölümde, IoT için Defender çalışma kitaplarında yaygın olarak kullanılan örnek sorgular sağlanır.

Uyarı sorguları

Algılayıcılar arasında uyarıların dağılımı

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Sensor=properties.extendedProperties.SensorId
| where properties.status!='Closed'
| summarize Alerts=count() by tostring(Sensor)
| sort by Alerts desc

Son 24 saatdeki yeni uyarılar

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| where properties.status!='Closed'
| extend AlertTime=properties.startTimeUtc
| extend Type=properties.displayName
| where AlertTime > ago(1d)
| project AlertTime, Type

Kaynak IP adresine göre uyarılar

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
| extend Type=properties.displayName
| extend Source_IP=properties.extendedProperties.SourceDeviceAddress
| extend Destination_IP=properties.extendedProperties.DestinationDeviceAddress
| where Source_IP=='192.168.10.1'
| project Source_IP, Destination_IP, Type

Cihaz sorguları

Satıcıya göre OT cihaz envanteri

iotsecurityresources
| extend Vendor= properties.hardware.vendor
| where properties.deviceDataSource=='OtSensor'
| summarize Devices=count() by tostring(Vendor)
| sort by Devices

PLC, gömülü cihaz, UPS gibi alt türe göre OT cihaz envanteri

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend SubType=properties.deviceSubTypeDisplayName
| summarize Devices=count() by tostring(SubType)
| sort by Devices

Algılayıcı, site ve IPv4 adresine göre yeni OT cihazları

iotsecurityresources
| where type == "microsoft.iotsecurity/locations/devicegroups/devices"
| extend TimeFirstSeen=properties.firstSeen
| where TimeFirstSeen > ago(1d)
| extend DeviceName=properties.deviceName
| extend Site=properties.sensor.site
| extend Sensor=properties.sensor.name
| extend IPv4=properties.nics.[0].ipv4Address
| where properties.deviceDataSource=='OtSensor'
| project TimeFirstSeen, Site, Sensor, DeviceName, IPv4

Uyarıları Purdue düzeyine göre özetleme

iotsecurityresources
    | where type == "microsoft.iotsecurity/locations/devicegroups/alerts"
    | project 
        resourceId = id,
        affectedResource = tostring(properties.extendedProperties.DeviceResourceIds),
        id = properties.systemAlertId
    | join kind=leftouter (
        iotsecurityresources | where type == "microsoft.iotsecurity/locations/devicegroups/devices" 
        | project 
            sensor = properties.sensor.name,
            zone = properties.sensor.zone,
            site = properties.sensor.site,
            deviceProperties=properties,
            affectedResource = tostring(id)
    ) on affectedResource
    | project-away affectedResource1
    | where deviceProperties.deviceDataSource == 'OtSensor'
    | summarize Alerts=count() by tostring(deviceProperties.purdueLevel)

Sonraki adımlar

Algılayıcı konsolunda panoları ve raporları görüntüleme hakkında daha fazla bilgi edinin:

Azure İzleyici çalışma kitapları ve Azure Kaynak Grafı hakkında daha fazla bilgi edinin: